BlueKeep een kwetsbaarheid in RDP. Tijd voor WannaCry 2.0?

Update – 12 augustus 2019

Gisteren was het precies 90 dagen geleden dat informatie omtrent de kwetsbaarheid BlueKeep werd gepubliceerd. Binnen Nederland gaat het vandaag de dag nog steeds om ruim 4.200 kwetsbare systemen. De code om deze kwetsbaarheid te misbruiken en op afstand toegang te krijgen is nog niet beschikbaar voor het grote publiek. Wel is het al enige tijd mogelijk om deze systemen te laten crashen. Het publiek beschikbaar komen van de code om systemen op afstand over te kunnen nemen zal waarschijnlijk niet lang meer op zich laten wachten.

Ook indien u het beheer van uw systemen heeft uitbesteed vraag dan naar de actuele status zodat u niet voor verassingen komt te staan.

Update – 25 juni 2019

Het onderzoek is verder uitgebreid. Na het scannen van ruim 47 miljoen ip-addressen kunnen we vaststellen dat meer dan 6000 systemen kwetsbaar zijn voor BlueKeep (binnen de Nederlandse ip-space). Zorg dat BlueKeep binnen uw organisatie op de agenda staat. Patch uw systemen, schakel network level authentication in op remote desktop protocol of schakel deze functie geheel uit.

25 juni 2019

0
Kwetsbare Systemen

1 juli 2019

6067
Kwetsbare Systemen

12 augustus 2019

5571
Kwetsbare Systemen

Update – 4 juni 2019

Zojuist werd een video op twitter vrijgegeven waarin een exploit getoond wordt voor BlueKeep. Met deze exploit heeft de maker volledige controle over de kwetsbare machine.

Update – 31 mei 2019

Inmiddels zijn we een week verder en is de eerste proof of concept gepubliceerd waarbij een kwetsbaar systeem crasht. Bijgaande video laat zien hoe eenvoudig dit is voor een kwaadwillende.

27 mei 2019 | “Opvolger” EternalBlue meld zich

Onlangs was het de verjaardag van WannaCry, de wereldwijde ransomware aanval die gebruik maakte van de kwetsbaarheid EternalBlue. Maar wat is er in twee jaar veranderd? Heeft dit incident ook daadwerkelijk verandering teweeggebracht?

Om deze vraag te beantwoorden hebben wij een onderzoek uitgevoerd. EternalBlue maakt gebruikt van een kwetsbaarheid binnen het protocol voor bestandsuitwisseling van Windows genaamd SMB. Met behulp van Shodan, een online-platform dat actief het aantal systemen op internet aangesloten indexeert, is het eenvoudig om te bepalen hoeveel systemen binnen Nederland dit specifieke protocol gebruiken.

 

Bijna 1% van de onderzochte systemen is kwetsbaar voor EternalBlue

Op dit moment zijn er volgens Shodan 22.387 systemen binnen Nederland die SMB open hebben staan richting het internet. Hierbij viel ons op dat de filtering binnen Shodan ons niet direct de juiste aantallen gaf. Daarom zijn we handmatig verder gaan filteren. Uiteindelijk kwamen we uit op 681 systemen die we nader hebben onderzocht. Hierbij hebben wij vastgesteld dat vijf systemen nog steeds kwetsbaar zijn.

Afgelopen “Patch Tuesday” bracht Microsoft een update uit die een kwetsbaarheid (BlueKeep) oplost omtrent remote toegang (RDP).

Patch voor Windows XP, Vista & Server 2003

https://support.microsoft.com/nl-nl/help/4500705/customer-guidance-for-cve-2019-0708

Patch voor Windows 7 en server 2008

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708

Meteen na de bekendmaking van de kwetsbaarheid werd er in de media veel aandacht besteed aan de vele systemen die RDP open hebben staan richting het internet. Maar ook over het gemak waarop deze systemen te vinden waren. In de meeste gevallen ontbrak echter enige nuance in de versie, configuratie en de daadwerkelijke kwetsbaarheid van deze systemen.

Meerdere individuele security onderzoekers en fabrikanten zijn inmiddels in staat om deze kwetsbaarheid (BlueKeep) te misbruiken en tonen dit aan met behulp van video’s. Gelukkig is de code voor het misbruiken van deze kwetsbaarheid nog niet gepubliceerd. Er wordt steeds meer gepubliceerd over de technische specificaties achter de kwetsbaarheid. Waardoor het een kwestie van tijd is voordat deze volledig uitgewerkt is tot een exploit.

Ondanks het ontbreken van publiekelijk beschikbare manieren om de kwetsbaarheid te misbruiken, zijn er inmiddels wel scanners beschikbaar die het mogelijk maken om te testen of een systeem kwetsbaar is.

 

10% van de onderzochte systemen is kwetsbaar voor BlueKeep!

Wij hebben een scan uitgevoerd op ruim 2000 systemen in Nederland die remote toegang accepteren vanaf het internet. Van deze systemen is bijna 10% kwetsbaar terwijl de patch al bijna 14 dagen beschikbaar is. Indien het installeren van deze patch nu niet mogelijk is voor uw organisatie schakel dan op zijn minst Network Level Authentication (NLA) in. De tijd begint te dringen. De kans is groot dat deze systemen zonder maatregelen slachtoffer worden van een cyberaanval.

Het advies blijft een open deur, update je systemen tijdig en wees terughoudend met wat je vanaf internet toegankelijk maakt. Eén systeem kan genoeg zijn om uw gehele infrastructuur over te nemen! De komende tijd blijven we deze systemen monitoren om te kijken wat de doorlooptijd is van bijwerken.

De eigenaren van deze systemen zijn door ons waar mogelijk op de hoogte gebracht.

Auteur:Security Team

Security Team Dutch Technology eXperts